לכמה התקצר לאחרונה משך הזמן הנדרש לביצוע מתקפות כופרה?
מאת:
מערכת Telecom News, 4.11.20, 11:40
מערך הסייבר הלאומי פרסם מסמך לגבי עדויות לכך, שקבוצות תקיפה הצליחו לקצר את משך הזמן הנדרש למתקפת כופרה. המערך מספק המלצות לארגונים ועסקים.
לאחרונה פורסמו עדויות לכך, שקבוצות תקיפה הצליחו לקצר את משך הזמן הנדרש למתקפת כופרה ממספר ימים למספר שעות. דוגמה לכך היא קבוצת התקיפה העושה שימוש בכופרה
Ryuk,
שעל פי פרסומים הצליחה במקרה מסוים לבצע תקיפה בתוך 29 שעות, ובמקרה אחר תוך 5 שעות, החל מאחיזה ראשונית ועד הצפנה מלאה.
כופרות הן נוזקות המונעות מהמשתמש גישה לקבצים או ציוד שברשותו, בד"כ באמצעות הצפנת המידע, ודורשות מהמשתמש לשלם דמי כופר תמורת החזרת היכולת להשתמש בקבצים או בציוד.
התרעה, שפורסמה ע"י מערך הסייבר אודות התמודדות עם כופרות
- כאן.
Ryuk היא כופרה המוכרת החל מ-2018. הקבוצה, שעושה שימוש בכופרה זו, ידועה בתקיפותיה הממוקדות נגד ארגונים.
בתקיפותיה נגד חברות, בתי חולים וגורמי ממשל מקומי הצליחה הקבוצה לקבל 61 מיליון דולרים רק בארה"ב. זאת, רק מארגונים, שידוע שנתקפו.
על- פי הערכות, הקבוצה הצליחה לקבל מאות מיליוני דולרים ב
-2019.
באוגוסט חשפה מיקרוסופט פגיעות בשירות
NetLogon המכונה
ZeroLogon , שעלולה לאפשר לתוקף לא מזוהה העלאת הרשאות לרמת
Admin Domain פגיעות זו עלולה לאפשר לתוקף השתלטות על הרשת הארגונית כולה, ולאפשר לתוקפים גישה מהירה יותר להתקנת כופרה ברשת. התרעה, שפורסמה ע"י מערך הסייבר הלאומי אודות פגיעות -
כאן.
לאחר תקופה ארוכה של שקט, זוהה קמפיין חדש של קבוצת התקיפה, שעושה שימוש ב
RYUK-בחודשים האחרונים.
חקירה של קמפיין זה מצביעה הן על שדרוג הכלים בהם הקבוצה משתמשת כדי לחדור לרשתות ולהתקין את הכופרה, והן על התייעלותה של הקבוצה וקיצור משך הזמן שבין השגת אחיזה ראשונית ברשת הארגון ועד להצפנה מלאה.
ב-8.10 פרסם אתר
Report DFIR, שקבוצת התקיפה הצליחה לעבור מהשגת אחיזה ראשונית באמצעות מתקפת דיוג בדוא"ל, ועד להצפנה רחבה של עמדות ושרתים בדומיין בתוך 29 שעות. הקבוצה דרשה יותר מ-6 מיליון דולרים לשחרור המערכות. לביצוע התקיפה הקבוצה השתמשה בכלים כגון
.PowerShell ,vsftpd ,WMI ,AdFind ,Cobalt Strike .Rubeus, PowerView
ב-
18.10 פרסם אתר
Report DFIR, שקבוצת התקיפה הצליחה לקצר את משך המתקפה ל-5 שעות באמצעות שימוש בפגיעות
.ZeroLogon גם במתקפה זו נעשה שימוש בכלים המוזכרים לעיל.
בעוד שבמקרה הראשון התוקפים השתמשו ב-
malware Loader Bazar, שנשלח בדוא"ל דיוג למיפוי הדומיין ובשירותי
Windows מובנים להשגת אחיזה ברשת, במתקפה השנייה והמהירה יותר התוקפים ניצלו את פגיעות
ZeroLogon לאתחול סיסמת השרת של ה
domain controller-המרכזי.
לאחר השגת האחיזה הראשונית התוקפים ביצעו תנועה רוחבית ברשת באמצעות פרוטוקול
SMB ו
.Cobalt Strike Beacons-
נעשה שימוש בפרוטוקול
RDP בין שרתים.
שרתי הגיבוי הותקפו והוצפנו ראשונים
.
דרכי התמודדות:
מומלץ לוודא, שלפחות עותק אחד של גיבויים ארגוניים נשמר באופן שאינו מקוון
Offline כדי למנוע מתוקפים פגיעה בכל עותקי הגיבוי.
מומלץ לקיים הדרכות מודעות לעובדים בנושא כופרה, לוודא, שהם מודעים לסיכון, ומכירים את הנהלים לפעולה במקרה של זיהוי כופרה בארגון.
מומלץ לוודא בהקדם האפשרי בחינה והתקנת העדכון לפגיעות
ZeroLogon בארגון. התרעת מערך הסייבר הלאומי בנושא -
כאן.
מדריך, שפורסם ע"י מערך הסייבר הלאומי, שכולל המלצות למניעה ולהתמודדות עם מקרי הדבקה בכופרה –
כאן.